您知道17 年前首次發(fā)現(xiàn)SQL 注入攻擊嗎？然而，它仍然在OWASP 十大漏洞列表中名列前茅。這個(gè)漏洞是什么？它如何影響您的應(yīng)用程序？你能為這個(gè)做什么？這是幫助您了解此 OWASP 十大漏洞及其業(yè)務(wù)影響的指南。如何停止 SQL 注入？您可以先通過(guò)AppTrana 免費(fèi)試用了解您的網(wǎng)站是否存在 SQL 注入風(fēng)險(xiǎn)。

什么是數(shù)據(jù)庫(kù)和 SQL？

數(shù)據(jù)庫(kù)是一組描述的表，可以從中訪問(wèn)或存儲(chǔ)數(shù)據(jù)。使用數(shù)據(jù)庫(kù)的應(yīng)用程序需要一種媒介來(lái)在前端和數(shù)據(jù)庫(kù)之間進(jìn)行通信。這就是 SQL 發(fā)揮作用的地方。結(jié)構(gòu)化查詢語(yǔ)言 (SQL) 是一種用于訪問(wèn)和操作數(shù)據(jù)庫(kù)中數(shù)據(jù)的語(yǔ)言。應(yīng)用程序可以使用 SQL 語(yǔ)句與數(shù)據(jù)庫(kù)進(jìn)行通信。使用 SQL 語(yǔ)句，應(yīng)用程序可以執(zhí)行一些標(biāo)準(zhǔn)的 SQL 命令，例如“SELECT”、“UPDATE”、“INSERT”、“DELETE”、“CREATE”、“DROP”。

SQL 注入代表什么？

大多數(shù) Web 應(yīng)用程序使用稱為結(jié)構(gòu)化查詢語(yǔ)言 (SQL) 的機(jī)器可理解的語(yǔ)言與數(shù)據(jù)庫(kù)進(jìn)行交互。攻擊者使用 Web 應(yīng)用程序中的輸入字段在服務(wù)器上運(yùn)行任意查詢（注入）；因此，攻擊過(guò)程稱為 SQL 注入或SQLi 攻擊。

1. 黑客使用您的輸入字段注入惡意代碼。
2. 服務(wù)器執(zhí)行從瀏覽器接收到的代碼。
3. 一旦黑客獲得控制權(quán)，他就可以竊取、編輯、刪除敏感數(shù)據(jù)或利用其他管理員權(quán)限。

常見(jiàn)的 SQL 注入攻擊會(huì)導(dǎo)致知識(shí)丟失或拒絕訪問(wèn)。然而，多年來(lái)，黑客將這些攻擊與身份驗(yàn)證不足、DNS 劫持、XSS 和 DDoS 相結(jié)合，造成嚴(yán)重的經(jīng)濟(jì)損失和絕對(duì)的主機(jī)接管。以下是近年來(lái)最著名的一些 SQL 攻擊。

• 2010 年 3 月：Albert Gonzalez 被判處 20 年徒刑。他將自己的代碼安裝到Heartland Payment Systems的信用卡服務(wù)器中，并竊取了 1.3 億個(gè)信用卡號(hào)碼。該公司的攻擊成本約為 1200 萬(wàn)美元。
• 2012 年 6 月： 未經(jīng)證實(shí)的 SQL 攻擊導(dǎo)致俄羅斯黑客從LinkedIn.com獲取了 650 萬(wàn)用戶憑據(jù)。
• 2012 年 7 月： 雅虎語(yǔ)音用戶的 453,000 個(gè)電子郵件地址和密碼被泄露
• 2014 年 10 月： Drupal宣布其對(duì)攻擊的高度脆弱性。
• 2015 年 2 月： 100 萬(wàn)個(gè)WordPress網(wǎng)站易受 SQL 注入攻擊
• 2020 年 8 月： SQL 注入攻擊導(dǎo)致 Freepik 和 Flaticon 用戶的 830 萬(wàn)條記錄泄露。
• 2021 年 7 月： SQL 注入為 Kaseya 的勒索軟件攻擊打開了大門。
• 2021 年 7 月： WooCommerce 披露其多個(gè)功能插件和軟件版本易受 SQL 注入攻擊，他們注意到在此期間發(fā)生了數(shù)次安全攻擊。

為什么應(yīng)用程序容易受到 SQL 注入的攻擊？

當(dāng)未經(jīng)適當(dāng)驗(yàn)證的用戶輸入直接作為 SQL 查詢傳遞給 SQL 解釋器以進(jìn)行處理時(shí)，應(yīng)用程序很容易受到 SQL 注入的攻擊。這導(dǎo)致執(zhí)行用戶輸入并提供預(yù)期的結(jié)果。

下面的場(chǎng)景解釋了一個(gè) Web 應(yīng)用程序，它接受用戶的用戶名和密碼，并直接傳入要執(zhí)行的查詢

案例 1：應(yīng)用程序接受用戶輸入并傳入 SQL 查詢

案例 2：在用戶名參數(shù)中添加了單引號(hào)。結(jié)果，數(shù)據(jù)庫(kù)運(yùn)行以下查詢

由于 OR 1=1，' WHERE 子句從表 users 中返回第一個(gè) id。成功執(zhí)行此 SQL 命令后，攻擊者可以繞過(guò)身份驗(yàn)證。

企業(yè)上的大規(guī)模自動(dòng)化 SQL 注入機(jī)器人

攻擊者怎么知道你的漏洞？

步驟1：

攻擊者使用包括機(jī)器人和軟件在內(nèi)的自動(dòng)化機(jī)制掃描數(shù)千個(gè)網(wǎng)站以尋找 SQL 注入。一些最常測(cè)試的字段是 URL 和表單。在這里很難停止 SQL 注入。

第2步：

審判。他分析漏洞的嚴(yán)重性并滲透到數(shù)據(jù)庫(kù)中。

第 3 步：

精心設(shè)計(jì)了一個(gè)虛假輸入命令，牢記漏洞，然后在該時(shí)間段內(nèi)對(duì)其進(jìn)行測(cè)試。如果它授予對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，攻擊者可以誘騙應(yīng)用程序泄露所有記錄。

第4步：

更致命的攻擊者會(huì)尋找其他漏洞并同時(shí)利用它們來(lái)獲取非法經(jīng)濟(jì)收益和主機(jī)控制權(quán)。

例子：

登錄表單是驗(yàn)證用戶的最常用方法之一。

驗(yàn)證功能對(duì)應(yīng)的服務(wù)器代碼為：

現(xiàn)在，黑客只需在任一輸入框中輸入“或”“=”即可驗(yàn)證 SQL。它將為他提供表用戶中的所有行。